Selama bertahun-tahun, banyak tim keamanan fokus pada email phishing. Masalahnya, pola serangan sekarang bergeser. Bukan berarti email sudah tidak berbahaya, tetapi telepon, panggilan suara, dan percakapan real-time makin sering dipakai sebagai pintu masuk kompromi akun dan akses awal ke sistem perusahaan.

Perkembangan ini terlihat sejalan dengan laporan tren insiden terbaru dari industri keamanan global pada Maret 2026, yang menyoroti kebangkitan social engineering sebagai jalur intrusi utama. Buat organisasi di Indonesia, ini penting karena serangan berbasis telepon jauh lebih susah diblokir oleh kontrol tradisional seperti email gateway atau filter lampiran.

Kalau email phishing mengandalkan klik, vishing mengandalkan tekanan psikologis. Penyerang memanfaatkan rasa panik, urgensi, otoritas palsu, sampai bantuan teknis palsu agar korban sendiri yang menyerahkan kode OTP, melakukan approval login, menginstal remote tool, atau membuka akses ke akun kerja.

Apa itu vishing dan kenapa sekarang lebih berbahaya?

Vishing adalah voice phishing: penipuan melalui panggilan telepon, VoIP, atau pesan suara untuk mencuri data, mengambil alih akun, atau memancing tindakan tertentu dari korban. Modusnya terlihat sederhana, tapi efektivitasnya naik karena beberapa faktor:

• Spoofing nomor membuat panggilan tampak berasal dari bank, vendor, helpdesk, atau rekan internal.
• Pelaku sudah punya konteks dari data bocor, LinkedIn, website perusahaan, atau media sosial korban.
• Percakapan real-time membuat korban lebih sulit berpikir tenang dibanding saat membaca email.
• Kombinasi multi-channel: panggilan telepon sering dipadukan dengan email, WhatsApp, QR code, atau halaman login palsu.
• AI generatif membantu penyerang membuat skrip percakapan, persona palsu, bahkan pesan lanjutan yang terasa meyakinkan.

Singkatnya, telepon memberi penyerang satu hal yang tidak dimiliki email: kemampuan menekan keputusan korban secara langsung dalam hitungan menit.

Pola serangan yang sekarang paling sering dipakai

Di lapangan, vishing modern jarang berdiri sendiri. Berikut pola yang makin sering muncul:

• Fake helpdesk: korban ditelepon orang yang mengaku dari tim IT atau Microsoft 365 support, lalu diminta menyetujui login atau memasukkan kode verifikasi.
• MFA approval fraud: korban dibanjiri notifikasi login, lalu ditelepon agar menekan tombol approve demi “menghentikan serangan”. Padahal itu justru membuka akses.
• Remote access trap: korban diarahkan memasang AnyDesk, TeamViewer, atau tool sejenis agar “dibantu memperbaiki akun”.
• Vendor/payment callback scam: staf finance menerima telepon soal invoice mendesak, lalu diminta mengubah rekening, email kontak, atau proses pembayaran.
• Messaging pivot: setelah telepon, korban diarahkan pindah ke WhatsApp atau Telegram untuk menerima file, tautan, atau instruksi lanjutan.

Kalau pola terakhir terdengar familiar, memang serangan semacam ini dekat dengan modus pembajakan akun pesan instan. Kamu bisa lihat konteksnya juga di artikel terkait: cara hacker membajak akun WhatsApp dan Signal dengan social engineering.

Kenapa kontrol keamanan lama sering gagal?

Banyak organisasi sudah punya secure email gateway, EDR, dan MFA. Itu bagus, tapi tidak otomatis cukup menghadapi vishing. Ada tiga celah utama:

1. Kontrol teknis fokus ke perangkat dan email, sementara manipulasi terjadi di kepala manusia.
2. Proses verifikasi internal lemah, sehingga staf tidak punya prosedur baku untuk memvalidasi permintaan sensitif via telepon.
3. Pelatihan keamanan masih terlalu email-centric. Karyawan diajari cek link mencurigakan, tapi tidak diajari menghadapi penelepon yang terdengar sopan, tahu nama atasan, dan memberi alasan yang masuk akal.

Ini sebabnya serangan berbasis telepon sering lolos bahkan di perusahaan yang terlihat matang secara teknis.

Tanda bahaya saat menerima panggilan mencurigakan

• Penelepon menciptakan rasa darurat: akun akan diblokir, pembayaran gagal, email diretas, atau laptop terinfeksi.
• Korban diminta membacakan OTP, kode MFA, atau nomor reset.
• Penelepon mendesak korban approve login tanpa memberi waktu verifikasi.
• Ada permintaan untuk instal software remote access atau membuka halaman tertentu saat telepon berlangsung.
• Penelepon menolak proses call back ke nomor resmi perusahaan atau vendor.
• Bahasa yang dipakai terdengar terlalu skrip, terlalu menekan, atau terlalu tahu detail pribadi yang tidak semestinya.

Checklist mitigasi praktis untuk tim IT dan bisnis

• Terapkan callback policy: semua permintaan sensitif via telepon wajib diverifikasi ulang ke nomor resmi yang diambil dari kanal internal, bukan dari penelepon.
• Larangan tegas membagikan OTP atau kode MFA, termasuk kepada helpdesk internal.
• Batasi metode MFA yang rentan disetujui spontan; prioritaskan phishing-resistant MFA seperti passkey atau security key bila memungkinkan.
• Aktifkan alert login yang jelas dan buat SOP respons ketika pengguna menerima notifikasi aneh.
• Batasi instalasi remote access tool hanya untuk perangkat dan staf yang memang berwenang.
• Latih staf finance, HR, helpdesk, dan eksekutif karena mereka paling sering jadi target panggilan manipulatif.
• Gunakan skrip verifikasi internal untuk perubahan rekening, reset akun, permintaan akses, dan approval pembayaran.
• Rekam dan review insiden nyaris terjadi agar pola penipuan cepat dikenali organisasi.
• Segera revoke session atau token dan reset kredensial jika ada staf yang terlanjur mengikuti instruksi penelepon.

Yang perlu dilakukan jika sudah telanjur terpancing

Jangan tunggu sampai forensik selesai. Jika ada indikasi korban sempat approve login, membagikan kode, atau memasang remote tool, lakukan langkah cepat berikut:

• Putuskan sesi aktif dan cabut token autentikasi.
• Reset password akun terdampak dan evaluasi metode MFA-nya.
• Periksa inbox, rule email, forwarding, dan aktivitas admin yang tidak biasa.
• Audit akses aplikasi SaaS yang terhubung dengan akun tersebut.
• Telusuri apakah ada perpindahan ke kanal lain seperti WhatsApp, Telegram, atau portal login palsu.

Kesimpulan

Di 2026, ancaman social engineering tidak lagi identik dengan email murahan berbahasa kacau. Serangan terbaik justru terasa seperti percakapan normal: ada suara manusia, alasan masuk akal, dan urgensi yang dibuat-buat. Itu sebabnya vishing layak diperlakukan sebagai risiko prioritas, bukan sekadar variasi phishing.

Perusahaan yang ingin lebih tahan terhadap serangan ini tidak cukup hanya menambah tool. Mereka perlu membangun kebiasaan verifikasi, SOP callback, dan pelatihan yang realistis. Saat telepon jadi senjata, pertahanan terbaik tetap kombinasi antara kontrol teknis dan disiplin operasional.